Показано с 1 по 4 из 4.

Win32.HLLW.Gavir

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640

    Win32.HLLW.Gavir

    Компания "Доктор Веб" информирует о вирусной опасности - Win32.HLLW.Gavir заражает исполняемые файлы и ворует пароли!

    14 августа 2006 г.

    Служба вирусного мониторинга компании "Доктор Веб" сообщает о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

    Техническая информация:
    • Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр:
    • В Win9x:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
      load=rundl132.exe

    • В WinNT/2000/XP:

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
      load=rundl132.exe

    • Завершает процессы:

      EGHOST.EXE
      MAILMON.EXE
      KAVPFW.EXE
      IPARMOR.EXE
      Ravmond.EXE
      RavMon.exe


    • Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.
    • Создаёт на диске библиотеку viDll.dll и внедряет ее в просесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.
    • На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.
    • Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web - CureIt!.

    http://info.drweb.com/show/2890/ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1725
    А у нас в офисе на компе он почему-то не лечится (((
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    Цитата Сообщение от CePguTKa Посмотреть сообщение
    А у нас в офисе на компе он почему-то не лечится (((
    В тудейке две записи на него, попробуйте после обновления.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1725
    попробуем... хотя с утра и днем обновлялся Веб... и что-то никак не помогает (http://virusinfo.info/showthread.php?t=7087)... Переставить Веба что-ли?
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

Похожие темы

  1. Win32.HLLW.Gavir.ini
    От Дракон в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 06.10.2010, 09:55
  2. Win32.HLLW.Autohit.3438 и Win32.HLLW.Gavir.ini
    От parus в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.03.2009, 14:13
  3. Win32.HLLW.Gavir.ini
    От Vagon в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 12.11.2008, 09:52
  4. DrWeb - CureIT: Win32 HLLW.Gavir.ini
    От Winsent в разделе Ложные срабатывания
    Ответов: 2
    Последнее сообщение: 10.08.2007, 22:33
  5. Win32.HLLW.Gavir
    От laks в разделе Помогите!
    Ответов: 39
    Последнее сообщение: 21.05.2007, 20:31

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01083 seconds with 16 queries